Überraschung! Kritische Lücke auf allen M$ Systemen

haxor · 23.10.2008

Microsoft hat uns heute mit einer außerplanmäßigen Sicherheitsankündigung überrascht - und die betrifft auch gleich alle Systeme von Windows 2000 an.
Win2000, XP und 2003 sind für Remotecode offen, Vista und 2008 haben DoS im Angebot.
Das könnte das nächste DCom oder Blaster werden. Fehlt nur noch der Code.

M$

haxor · 24.10.2008

Mittlerweile gibt es einen PoC auf Milw0rm und Gimmiv.A in the wild - wie aufregend :grinning:

the ubm · 24.10.2008

Danke für die Information. Wo gibts die Datei zum Downloaden um diese Lücke zu stopfen?
Die MS-Schrott Seite gibt nicht viel her.
Auf 2 Links erhalte ich folgende Nervmeldung:

Vielen Dank für Ihr Interesse an Updates von unserer Site.

Für diese Site muss Microsoft Internet Explorer 5 oder höher ausgeführt werden.

Beim anderen Link komme ich auf eine Office Seite, die kleine Spione (Cookies) auf meiner Festplatte aussetzen möchte und heult, weil sie es nicht kann.
Der andere Link führt mich auf eine Allgemeine Sicherheitsseite, die mir etwas von Virenscanner, Firewall und Co. erzählen will.

Es wäre also sehr nett, wenn hier jemand einen direkten Downloadlink für den Patch reinstellen könnte.

Helpmann · 24.10.2008

http://nord-server.kicks-ass.net:63000/WindowsXP-KB958644-x86-DEU.exe

fred777 · 25.10.2008

Ich finde das einfach nur ärgerlich.
Aber gut, das es ein Update gibt

the ubm · 25.10.2008

Hat die Lücke eigentlich überhaupt eine Bedeutung, wenn man hinter einem Router ins Netz geht? Der Serverdienst ist ja für die Datei und Druckerfreigabe verantwortlich. Hinter einem Router funktioniert das jedoch nicht. Bei Modemnutzern (egal ob Analogmodem oder DSL ohne Router) dürfte es auch helfen die Bindung für die Datei- und Druckerfreigabe von der Netzwerkkarte der Modemverbindung zu nehmen.

the ubm · 27.10.2008

Meine Vermutung in dem Beitrag über diesem wurden bestätigt. Ohne Datei- und Druckerfreigabe ist die Lücke bedeutungslos. Wer hinter einem Router sitzt, ist also geschützt, genauso wenn man die Bindung der Datei- und Druckerfreigabe von der Netzwerkkarte der Internetverbindung nimmt, siehe dazu
http://www.heise.de/security/Wurm-d...me-ueber-RPC-Luecke-ein--/news/meldung/117923

haxor · 27.10.2008

Vielleicht sollte man allrdings anmerken, dass der Schutz hinter einem Router nur solange gilt, wie alle PCs in diesem Netzwerk sauber sind. Es ist nicht ausgeschlossen, dass der Code demnächst auch anders als in Gimmi implementiert wird, und innerhalb des LAN verbreitet er sich selbst.

BioaSharky · 28.10.2008

the ubm schrieb:
Danke für die Information. Wo gibts die Datei zum Downloaden um diese Lücke zu stopfen?
Die MS-Schrott Seite gibt nicht viel her.
...
Es wäre also sehr nett, wenn hier jemand einen direkten Downloadlink für den Patch reinstellen könnte.

Welches Betriebssystem denn?
Oder reicht dir der Link von Helpmann für XP schon?

the ubm · 28.10.2008

Danke für dein Angebot, aber der Link von Helpman war vollkommen ausreichend. Der Patch ist bereits installiert.

Helpmann · 30.10.2008

Quelle: http://www.onlinekosten.de/news/artikel/31910/0/Angriffscode-zur-Microsoft-Sicherheitsluecke-online

Anzahl und Umfang der Angriffe wird zunehmen

In einer neuen Sicherheitsmitteilung informiert Microsoft darüber, dass der veröffentlichte Angriffscode zwar auf infizierten Systemen schädliche Programme installiert, sich aber bislang nicht selbst verbreitet. Zudem seien Computer, auf denen der angebotene Hotfix aufgespielt wurde, nicht gefährdet.

Da mit zunehmender Verbreitung des Angriffscodes auch die Wahrscheinlichkeit für umfangreichere Attacken steigt, sollte das Update spätestens jetzt heruntergeladen und installiert werden.

the ubm · 30.10.2008

Sehr interessant finde ich diesen Artikel http://www.zdnet.de/security/analysen/0,39029458,39198025,00.htm
Es geht darum, dass diese Lücke eventuell sogar absichtlich eingebaut wurde, als Hintertür für den PC.

Ein Technet-Blogeintrag weist darauf hin, dass Windows ab Version 2000 eventuell eine eingebaute Hintertür besitzt. So ist dort zu lesen, dass RPC-Anfragen, die an die UUID 4b324fc8-1670-01d3-1278-5a47bf6ee188 gehen, geblockt werden sollen, bis der Patch eingespielt ist. Alternativ könne man die Ports 139 und 445 sperren.

Wie kann man mit dieser UUID beliebigen Code auf dem Rechner ausführen?

haxor · 30.10.2008

Ich frage mich, wie die Herren von Zdnet insbesondere aus ihrer Quelle so eine abenteuerliche Meldung zusammenschustern können. Das entbehrt für mich jeglicher Grundlage.

Mittlerweile gibt es übrigens auch einen Code für Metasploit --> Autopwn :app:
Und wer schon immer mal ein Botnetz aufbauen wollte, ist gut beraten, jetzt anzufangen.

haxor · 18.03.2009

haxor schrieb:
Das könnte das nächste DCom oder Blaster werden. Fehlt nur noch der Code.

Panda Security (drei Monate nach mir):

"Eine Infektionsrate in dieser Höhe ist ein Phänomen, dass wir seit den großen Epidemien der Würmer Kournikova im Jahr 2001 oder Blaster im Jahr 2003 nicht mehr erlebten."

Ich habe gerade mit Bekannten im IRC über Conficker diskutiert und musste mich bei der Gelegenheit einfach nochmal selbst quoten :grinning:

Überraschung! Kritische Lücke auf allen M$ Systemen

haxor

haxor

the ubm

Helpmann

fred777

the ubm

the ubm

haxor

BioaSharky

the ubm

Helpmann

the ubm

haxor

haxor

Überraschung! Kritische Lücke auf allen M$ Systemen

ANGEBOTE & SPONSOREN

Neueste Beiträge

Statistik des Forums